Chat now with support
Chat with Support

Identity Manager 9.3 - Konfigurationshandbuch für Webanwendungen

Über dieses Handbuch API Server verwalten API-Projekte und Webanwendungen konfigurieren
Allgemeine Konfiguration Administrationsportal konfigurieren Application Governance Modul konfigurieren Kennwortrücksetzungsportal konfigurieren Web Portal konfigurieren
Abteilungen konfigurieren Adressbuch konfigurieren Ansichten konfigurieren Anwendungsrollen konfigurieren Application Governance Modul konfigurieren Attestierung konfigurieren Authentifizierung beim Akzeptieren von Nutzungsbedingungen konfigurieren Bestellfunktionen konfigurieren Delegierungen konfigurieren Eigene API-Filter konfigurieren Eigene Filter konfigurieren Empfehlungen für das Hinzufügen von Berechtigungen zu Objekten konfigurieren Geräte konfigurieren Geschäftsrollen konfigurieren Helpdeskmodul/Tickets konfigurieren Hyperviews konfigurieren Identitäten konfigurieren Kennwortfragen konfigurieren Kostenstellen konfigurieren Leistungspositionen konfigurieren Programmfunktionen für das Web Portal Software konfigurieren Standorte konfigurieren Statistiken konfigurieren Systemrollen konfigurieren Tabellensortierung überspringen Teamrollen konfigurieren Vier-Augen-Prinzip für die Vergabe des Zugangscodes konfigurieren Webauthn-Sicherheitsschlüssel konfigurieren
Web Portal für Betriebsunterstützung konfigurieren
Empfehlungen für einen sicheren Betrieb von Webanwendungen

Vier-Augen-Prinzip für die Vergabe des Zugangscodes konfigurieren

Sie können festlegen, ob ein durch den Helpdesk generierter Zugangscode in zwei Bestandteile aufgeteilt wird. Eine Hälfte des Zugangscode wird dem Helpdesk-Mitarbeiter mitgeteilt und die zweite Hälfte wird dem zuständigen Manager der Identität zugeschickt. Die Identität muss dann die zweite Hälfte des Zugangscodes bei ihrem Manager erfragen. Dieses Verfahren erhöht die Sicherheit bei der Vergabe des Zugangscodes.

Um das Vier-Augen-Prinzip für die Vergabe des Zugangscodes zu konfigurieren

  1. Starten Sie das Programm Designer.

  2. Verbinden Sie sich mit der entsprechenden Datenbank.

  3. Aktivieren Sie den Konfigurationsparameter QER | Person | PasswordResetAuthenticator | PasscodeSplit.

    TIPP: Wie Sie Konfigurationsparameter im Designer bearbeiten, erfahren Sie im One Identity Manager Konfigurationshandbuch.

  4. Aktivieren Sie den Konfigurationsparameter QER | WebPortal | MailTemplateIdents | InformManagerAboutSecondHalfOfPasscode.

    Standardmäßig wird die zweite Hälfte des Sicherheitscodes mit der Mail-Vorlage Teil des Zugangscodes für Kennwortzurücksetzung versendet.

    Um eine andere Vorlage für diese Benachrichtigung zu verwenden, ändern Sie den Wert des Konfigurationsparameters.

    TIPP: Die eigentliche Mail-Vorlage können Sie im Designer in der Kategorie Mailvorlagen > Person konfigurieren. Ausführliche Informationen zu Mail-Vorlagen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

Webauthn-Sicherheitsschlüssel konfigurieren

One Identity bietet Benutzern die Möglichkeit, sich mithilfe von (physischen) Sicherheitsschlüsseln bequem und sicher an den Webanwendungen des One Identity Managers anzumelden. Diese Sicherheitsschlüssel unterstützen den W3C-Standard Webauthn.

Die Nutzung von Sicherheitsschlüsseln gewährleistet eine höhere Sicherheit beim Anmelden.

Hinweise

  • Administratoren von Identitäten haben im Manager die Möglichkeit, alle Sicherheitsschlüssel einer Identität einzusehen und zu löschen. Weitere Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  • Der Webauthn-Standard wird im Internet Explorer NICHT unterstützt. Benutzer müssen einen anderen Browser verwenden.

Die Konfiguration von Webauthn für eine Webanwendung führen Sie in vier Schritten durch:

  1. Konfigurieren Sie das OAuth-Zertifikat, um die sichere Kommunikation zwischen dem RSTS und One Identity Manager zu ermöglichen.

  2. Konfigurieren Sie den RSTS.

  3. Konfigurieren Sie den Anwendungsserver.

  4. Konfigurieren Sie die Webanwendung.

Verwandte Themen
Detaillierte Informationen zum Thema

Schritt 1: OAuth-Zertifikat konfigurieren

Die Kommunikation zwischen dem RSTS und One Identity Manager findet mithilfe von Tokens statt, die mit dem privaten Schlüssel eines Zertifikats signiert werden. Dieses Zertifikat muss gültig und vertrauenswürdig sein, da der RSTS dieses Zertifikat auch zur Client-Zertifikatsanmeldung am Anwendungsserver verwendet. One Identity empfiehlt Ihnen, entweder eine bereits existierende Public-Key-Infrastruktur (PKI) oder eine neue Zertifizierungskette aus Root-Zertifikat und damit signiertem OAuth-Signatur-Zertifikat zu verwenden.

Um das OAuth-Signatur-Zertifikat zu konfigurieren

  1. Erstellen Sie ein neues gültiges und vertrauenswürdiges OAuth-Signatur-Zertifikat.

  2. Stellen Sie Folgendes sicher:

    • Der RSTS muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.

    • Der Anwendungsserver, von dem der RSTS die Webauthn-Sicherheitsschlüssel abfragt, muss der Zertifizierungskette des OAuth-Signatur-Zertifikats vertrauen.

    • Die Webanwendung, die eine Anmeldung per RSTS erlaubt, muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.

    • Die Webanwendung, über welche die Webauthn-Sicherheitsschlüssel verwaltet werden sollen, muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.

Verwandte Themen

Schritt 2: RSTS konfigurieren

HINWEIS: Bevor Sie den RSTS konfigurieren können, müssen Sie das OAuth-Signatur-Zertifikat konfigurieren. Weitere Informationen finden Sie unter Schritt 1: OAuth-Zertifikat konfigurieren.

Um Webauthn am RSTS zu konfigurieren

  1. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie den RSTS installieren: Bei der Installation des RSTS wählen Sie das vorherig erstellte OAuth-Signatur-Zertifikat, damit der entsprechende Eintrag am Identitätsanbieter im One Identity Manager entsprechend gesetzt wird.

    • Wenn der RSTS bereits installiert ist: Beenden Sie den entsprechenden Dienst, deinstallieren Sie den Dienst und installieren Sie die neue Version.

  2. In Ihrem Web-Browser rufen Sie die URL der Administrationsoberfläche des RSTS' auf: https://<Webanwendung>/RSTS/admin.

  3. Auf der Startseite klicken Sie Applications.

  4. Auf der Seite Applications klicken sie Add Application.

  5. Auf der Seite Edit vervollständigen Sie die Angaben in den verschiedenen Tabreitern.

    HINWEIS: Die Weiterleitungs-URLs (Redirect Url) im Tabreiter General Settings werden nach folgenden Formaten gebildet:

    • Für den API Server

      https://<Server-Name>/<Anwendungsserver-Pfad>/html/<Webanwendung>/?Module=OAuthRoleBased

    • Für das Web Portal:

      https://<Server-Name>/<Webanwendung>/

  6. Wechseln Sie zum Tabreiter Two Factor Authentication.

  7. Im Tabreiter Two Factor Authentication im Bereich Required By in der Liste klicken Sie auf:

    • All Users: Alle Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden.

    • Specific Users/Groups: Bestimmte Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden. Diese können Sie hinzufügen, indem Sie Add klicken.

    • Not Required: Der Anwendungsserver entscheidet, welche Benutzer sich per Zwei-Faktor-Authentifizierung anmelden müssen.

  8. In der Navigation klicken Sie Home.

  9. Auf der Startseite klicken Sie Authentication Providers.

  10. Auf der Seite Authentication Providers bearbeiten Sie den Eintrag in der Liste.

  11. Auf der Seite Edit wechseln Sie zum Tabreiter Two Factor Authentication.

  12. Im Bereich Two Factor Authentication Settings klicken Sie FIDO2/WebAuthn.

  13. Bearbeiten Sie die folgenden Eingabefelder:

    • Relying Party Name: Geben Sie einen beliebigen Namen ein.

    • Domain Suffix: Geben Sie das Suffix Ihrer Active Directory-Domäne ein, auf welcher der RSTS gehostet wird.

    • API URL Format: Geben Sie die URL des Anwendungsservers ein. Die eingegebene URL muss einen Platzhalter in der Form {0} enthalten, der die eindeutige Kennung des Benutzers angibt.

      Das API URL Format wird vom RSTS genutzt, um die Liste der Webauthn-Sicherheitsschlüssel eines bestimmten Benutzers abzurufen. Geben Sie die URL in folgendem Format an:

      https://<Server-Name>/<Anwendungsserver-Pfad>/appServer/webauthn/<Identitätsanbieter>/Users/{0}

      • <Server-Name> – Vollqualifizierter Host-Name des Webservers, der den Anwendungsserver hostet

      • <Anwendungsserver-Pfad> – Pfad zur Webanwendung des Anwendungsserver (Standard: AppServer)

      • <Identitätsanbieter> – Name des Identitätsanbieters

        TIPP: Den Namen des Identitätsanbieters können Sie im Designer ermitteln: 

        Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenId Connect Konfiguration


      Beispiel:
      https://www.example.com/AppServer/appServer/webauthn/OneIdentity/Users/{0}

  14. Klicken Sie Finish.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating